URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20414
[ Назад ]

Исходное сообщение
"заNATить локальные адреса на внешний перед ipsec vpnом"
Отправлено Sasha , 28-Янв-10 21:38

hi.
у меня проблемка. нужно создать тунель типа site-to-site. тк с другой стороны не пускают локальные ip нужно их заNATить за одним свободным внешним.
у меня получилось вот так:
ip nat inside source static 10.0.10.10 xx.xxx.xxx.211 route-map VPNNAT
route-map VPNNAT permit 10
match ip address 117
access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log
потом собственно VPN:
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto isakmp key kluchike7d address xxx.xxx.xxx.145
crypto map SDM_CMAP_1 3 ipsec-isakmp
set peer xxx.xxx.xxx.145
set security-association lifetime seconds 86400
set transform-set ESP-AES-128-SHA
match address 112

что я сделал не так?

Содержание

заNATить локальные адреса на внешний перед ipsec vpnом,stell, 23:42 , 28-Янв-10
- заNATить локальные адреса на внешний перед ipsec vpnом,Sasha, 00:02 , 29-Янв-10
  - заNATить локальные адреса на внешний перед ipsec vpnом,stell, 00:20 , 29-Янв-10
    - заNATить локальные адреса на внешний перед ipsec vpnом,Sasha, 00:30 , 29-Янв-10

Сообщения в этом обсуждении

"заNATить локальные адреса на внешний перед ipsec vpnом"
Отправлено stell , 28-Янв-10 23:42

Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и access-list 112
А так же:
sh crypto isakmp sa
sh crypto ipsec sa
И в чем конкретно проблема? Не поднимается туннель? Не работает NAT как ожидалось?
Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом приниматься за NAT.

"заNATить локальные адреса на внешний перед ipsec vpnом"
Отправлено Sasha , 29-Янв-10 00:02

>Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
>access-list 112
access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7
>А так же:
>sh crypto isakmp sa
dst             src             state          conn-id status
тут инфа про другое vpn соединение
IPv6 Crypto ISAKMP SA
>sh crypto ipsec sa
    local  ident (addr/mask/prot/port): (xxx.xxx.xxx.211/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (xxx.xxx.175.0/255.255.255.248/0/0)
   current_peer xxx.xxx.xxx.145 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: xxx.xxx.xxx.210, remote crypto endpt.: xxx.xxx.xxx.145
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
>
>И в чем конкретно проблема? Не поднимается туннель?
в какой-то момент я смог поднять isakmp, но из-за неправильной конфигурации ipsec всё грохнулось. с тех пор ничего не поднимается
>Не работает NAT как ожидалось?
я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать.
в 117м - локальный 10.0.10.0/24
в 112й уже внешний xxx.xxx.xxx.211
>Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и
>добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом
>приниматься за NAT.
спасибо за совет - думаю, так и попробую сделать.

"заNATить локальные адреса на внешний перед ipsec vpnом"
Отправлено stell , 29-Янв-10 00:20

>я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним >адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать.
>в 117м - локальный 10.0.10.0/24
>в 112й уже внешний xxx.xxx.xxx.211
Вцелом выглядит верно:
>access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log
Это то что вы собираетесь NATить.
>access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7
Это то что вы хотите шифровать уже после NATа. Вторая половина этих ACL должна совпадать в вашем случае. Куда NATим, туда же и шифруем.
"193.xxx.xxx.0 0.0.0.7" = "xxx.xxx.175.0 0.0.0.7" ?

"заNATить локальные адреса на внешний перед ipsec vpnом"
Отправлено Sasha , 29-Янв-10 00:30

>[оверквотинг удален]
>>access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log
>
>Это то что вы собираетесь NATить.
>
>>access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7
>
>Это то что вы хотите шифровать уже после NATа. Вторая половина этих
>ACL должна совпадать в вашем случае. Куда NATим, туда же и
>шифруем.
>"193.xxx.xxx.0 0.0.0.7" = "xxx.xxx.175.0 0.0.0.7" ?
это ж надо было так зашифроваться :-) конечно, они равны.
значит у меня в этом граблей нет. уже радует. Не понимаю одно: почему ни isakmp ни ipsec после него уже не хотят коннектаться когда пытаюсь зателнениться на 193.ххх.ххх.2